רשימת אבטחה פשוטה לאתרי וורדפרס

רשימת אבטחה פשוטה לאתרי וורדפרס

האם ידעת שמעל 100,000 אתרים נפרצים מדי יום? זה נכון, פשעי רשת הם איום רציני על כל חברה, וגם מי שיש לו אתר וורדפרס אינו בטוח. היה לי ריצה עם האקרים (והייתי צריכה לשחזר את אתר הוורדפרס שלי), ואתה בטח יודע שהוא היה מכוער.


האקרים מחפשים באופן פעיל אתרים פגיעים כדי לשבור ולגנוב נתונים שהם יכולים לשחרר לטובת רווח כספי או כוונה זדונית טהורה. כדי להגן על עצמך ועל האתר היקר שלך, עליך לבחון ברצינות את הקשחת האבטחה שלך ב- WordPress.

בהתחשב בכך שתאבד הכנסות, זמן ומאמץ כאשר האקרים יתפרצו לאתר שלך, יצרנו את רשימת האבטחה הבאה שתוכל להשתמש בהם כדי לאבטח את אתר WordPress שלך. כל פריטי האבטחה בפוסט קלים יחסית ליישום אפילו עבור מתכננים ראשונים:

ככל שתוכלו לראות, אנו נפרק את הפוסט למספר חלקים המכסים את הכל, החל בבחירת מארח מאובטח ועד הקשחת אזור הניהול שלכם ואחרים. יהיה עליך לחזור על כמה משימות אבטחה, כגון עדכון הנושאים באופן קבוע. משימות אחרות הן דבר חד פעמי, אך עדיין יש להן השפעה משמעותית על שמירת האתר שלך. בדוק מה אתה צריך לתקן, עשה זאת מייד כי גם האקרים לא מבזבזים זמן.

רשימת אבטחה פשוטה של ​​וורדפרס

1. עדכן את WordPress

גרעין וורדפרס נבדק באופן קבוע ונבדק אחר פגיעויות אבטחה. אם מתגלים פגמים ואגים באבטחה, מפתחי הליבה בדרך כלל משחררים עדכוני תחזוקה. עדכונים קלים מותקנים באתר וורדפרס באופן אוטומטי.

עם זאת, תצטרך לעדכן את וורדפרס באופן ידני עבור כל המהדורות העיקריות. זהו תהליך ישר יחסית, מכיוון שאתה מקבל הודעה מציקה במנהל הוורדפרס שלך. רק 22% מאתרי האינטרנט פועלים בגירסה האחרונה של וורדפרס, וזה עצוב בהתחשב כמה קל לעדכן.

אל תשתתף ב -78% הנותרים מכיוון שאתה בעצם חושף את האתר שלך לכל מיני התקפות על ידי אי עדכון האתר שלך. בדרך כלל, האקרים הם הקבוצה הראשונה של אנשים שלומדים על פגיעויות כלשהן בגרסאות ישנות, מכיוון שהם סומכים על הפגמים שיוצרים פיגועים מוצלחים..

לפני שתעדכן את וורדפרס, אנו ממליצים לקרוא את הערות המהדורות כדי לראות מה השתנה ולקחת גיבוי של האתר שלכם (רק כדי להיות בטוח). בדרך זו אתה עכשיו למה לצפות כשאתה לוחץ על כפתור העדכון שלך, ויש לך כשל בטוח אם משהו ישתבש.

2. עדכן ערכות נושא ותוספים

בעת עדכון ליבת הוורדפרס, אל תשכח לעדכן גם את הנושאים והתוספים שלך. האקרים אוהבים במיוחד נושאים ותוספים ישנים עם חורי אבטחה ידועים.

הם מנצלים את פגיעויות האבטחה הללו ואף עשויים להסתיר דלת אחורית בערכת נושא או תוסף ישנים. אם לא תעדכן, הם יכולים לפרוץ את האתר שלך בכל פעם שהוא נעים להם.

כדי להימנע מאובדן הסגנונות המותאמים אישית שלך, אנו ממליצים להשתמש בערכת נושא לילדי וורדפרס לעומת נושא ההורה. ככה, לא תאבד את ההתאמות האישיות שלך כשעדכן את העיצוב שלך.

על Yo לחסל כל נושא, תוספים והתקנות וורדפרס שאינם בשימוש. לא רק שתחסוך רוחב פס ותהפוך את אתר האינטרנט שלך למהיר יותר, אלא שתמשיך להאריך את ההאקרים.

הערה מהירה נוספת, אל תוריד אף פעם ערכות נושא ותוספי פרימיום “בטלים”. ללכת רק עם מקורות מהימנים כמו WordPress.org, Envato או חנות נושא מכובדת אחרת.

3. השתמש בסיסמאות ייחודיות וחזקות

תופתעו לדעת שרוב האתרים נפרצים כאשר הרעים גונבים את פרטי הכניסה שלכם. בנוסף, התקפות כוח סוער הן נפוצות למדי וכרוכות בהפצצת דף הכניסה שלך עם אלפי שילובי סיסמאות של שם משתמש עד שמשהו ייתן.

אם אתה משתמש בשמות משתמש וסיסמאות חלשים (כגון “מנהל” או “12345” הידוע לשמצה) אתה מקל על האקרים לפרוץ לאתר שלך בצורה מדהימה. היכנס להרגל ליצור סיסמאות ייחודיות וחזקות שאתה משנה באופן קבוע. אתה יכול אפילו להשתמש בגנרטור מקוון בחינם, כמו זה מ- מעבר אחרון.

ניהול סיסמאות רבות וחזקות יכול להוות בעיה. כדי לעזור, אני מסתמך לרוב על מנהלי סיסמאות כמו 1Password או LastPass, בין היתר. אל תשתמש שוב באותה סיסמה באתרי אינטרנט מרובים, ושמור תמיד על פרטי ההתחברות שלך. ודא שמשתמשי WordPress שלך משתמשים גם בסיסמאות חזקות.

כשאתה בעניין – זכור להשתמש בסיסמאות חזקות גם לדוא”ל, cPanel, מסדי נתונים MySQL וחשבונות FTP..

4. התקן תוסף אבטחה של WordPress

בכל פעם שאני יוצר אתר וורדפרס חדש, בדרך כלל יש לי כמה תוספי דפקטו שאני מתקין כמעט באופן אוטומטי. אני מקבל תוסף נגד דואר זבל, טופס יצירת קשר 7, קיצורי דרך פשוטים ו- iThemes Security, תוסף האבטחה של WordPress שלי..

התוסף מאפשר לי לבצר את ההגנות שלי על וורדפרס מבלי לשבור זיעה. זה מגיע עם כל כך הרבה תכונות שהופכות את הרחקת הרעים מחוץ לאתרי שלי לרוח. קל להגדיר את התצורה של התוסף; אתה צריך להיות פועל תוך זמן קצר.

תוספי האבטחה הטובים ביותר של וורדפרס מציעים לך תכונות שונות, לכן הקפד לבדוק לפני ההתקנה כדי לוודא שאתה מקבל את כל התכונות הדרושות לך כדי לאבטח את כל האתר שלך, לא משנה כמה ייחודי. תכונות סטנדרטיות כוללות סריקת תוכנות זדוניות, חסימת IP, מניעה של כוח ברוט, אימות דו-גורמי, והרבה יותר מזה – סמן ברבים מהתיבות את רשימת האבטחה הזו שאתה קורא ברגע זה.!

5. בחר אירוח וורדפרס נהדר

בדרך כלל, מתחילים באים לחבילת האירוח הזולה הראשונה בה הם נתקלים. לא הייתי מחזיק בזה נגדך מכיוון שאינך יודע טוב יותר, אך אירוח משותף זול (או אפילו בחינם) יכול לחשוף אותך לסיכוני אבטחה. אני יודע זאת בוודאות מאז שנפרצתי לשתי חברות אירוח שונות המציעות אירוח משותף.

אירוח משותף כרוך בשיתוף שרת עם אלפי אתרים אחרים. זה מגדיל את הסיכון לזיהום חוצה אתרים. כלומר, האקר יכול לקבל גישה לאתר שלך גם אם האתר של מישהו אחר היה נקודת ההתקפה המקורית.

אירוח וורדפרס מנוהל, לעומת זאת, מתמקד באתרי וורדפרס בלבד. אינך משתף שרת עם אחרים ומקבל אפשרויות אבטחה נוספות כדי להישאר בטוחים. הם מציעים גם תמיכה ייעודית, ואפשרויות התאוששות נוספות במקרה הגרוע ביותר.

אם עליך להשתמש באירוח משותף, נניח שאתה מתחיל בבלוג שעדיין לא מרוויח כסף, וודא שהאתרים מבודדים או “נכלאים”. אם אתה מנהל עסק או אתר מסחר אלקטרוני, משתלם להשתמש באירוח וורדפרס הטוב ביותר שאתה יכול להתאים לתקציב שלך מהמילה go – כמו VPS, אירוח ייעודי או מנוהל וורדפרס..

6. השתמש ב- SSL (HTTPS)

בימינו חברות אירוח רבות של וורדפרס מציעות אישורי SSL בחינם מהמילה go ולא מסיבה טובה. אישורי SSL הופכים את האתר שלך לבטוח יותר מאתרים ללא SSL. גוגל ממליצה גם להשתמש בתעודות SSL כדי להגן על נתונים באתר שלך (ולוודא שמשתמשים יודעים אם אתה משתמש ב- SSL או לא)..

HTTPS מאובטח יותר מקודמו HTTP. אתר המשתמש ב- HTTPS מצפין את כל הנתונים הנעים בין דפדפן המשתמש לשרתים שלך. אם האקר מיירט את התקשורת, הם ימצאו רק נתונים מוצפנים שמועילים לאדם עם רגליים בתחרות בועטת בתחת ��

התקנת אישורי SSL ברוב מארחי האינטרנט היא קלה כמו A, B, C. רוב מציעים מתקינים בלחיצה אחת המקלים על כל התהליך. פשוט התחבר ל- cPanel ולחץ על כפתור יחיד כדי להתקין ולנהל את אישורי ה- SSL שלך. אם תרצה גישה מעשית יותר, שקול לבדוק את ‘בוא להצפין’.

7. צור גיבוי מלא לאתר

כשהאקרים עיצבו אותי, הייתי צריך לבנות מחדש את אתרי האינטרנט שלי מאפס, כאב ראש הייתי נמנע ממנו אם הייתי זוכר באופן אמין לגבות את WordPress.

אבל לא, הגיבויים שהיו עם מארח האינטרנט שלי נפגמו במהלך ההתקפה, ולא, לא היה לי פיתרון גיבוי משני. מקרה קלאסי של לשים את כל הביצים שלך בסל אחד שלימד אותי שיעור קשה.

בימינו, אני יוצר גיבויים מלאים לאתר הכוללים קבצי אתרים ומסדי נתונים שלי. אני בעיקר משתמשת ManageWP, אבל אני גם משתמש ב- תוסף מעתק לאחסון גיבויים במחשב שלי וב- Google Drive.

אני קורא לך ליצור גיבויים מלאים באופן קבוע. פתרונות גיבוי רבים של וורדפרס מאפשרים לך להפוך את התהליך לאוטומטי, חוסך לך זמן ומעניק לך שקט נפשי.

8. השתמש בחומת אש ליישומי אינטרנט (WAF)

כדי להוסיף שכבת אבטחה נוספת לאתר וורדפרס שלך, ושינה טובה יותר בלילה, אפשר חומת אש של יישום אינטרנט (WAF). WAF מגן על האתר שלך על ידי חסימת תנועה זדונית הרבה לפני שהוא מגיע לאתר שלך. זהו אמצעי יזום לעצירת הרעים שמתים אחר עקבותיהם לפני שהם גורמים נזק.

חומת האש מסננת את התנועה הנכנסת שלך, ומבטלת האקרים תוך שהיא מאפשרת למשתמשים לגיטימיים לעבור. חברות אבטחה רבות של וורדפרס מציעות חומת אש ליישומי אינטרנט לצד תכונות אחרות. אפשרויות פופולריות בענף כוללות Sucuri ו- פרח ענן.

9. השבת את עריכת הקבצים ב- WordPress Admin

מערכת הוורדפרס CMS מגיעה עם עורך קוד פנטסטי המאפשר לערוך קבצי תוספים וערכות נושא בתוך לוח המחוונים הניהולי של וורדפרס. עורך הקוד הוא כלי נהדר העומד לרשותך, אך בידיים הלא נכונות, האקרים יכולים להשתמש בו כדי להגדיל או להוסיף תוכנות זדוניות באתר שלך..

אתה תמיד יכול לערוך את קבצי העיצוב ואת התוספים שלך (אם צריך) באמצעות FTP או מנהל הקבצים ב- cPanel, מה שאומר שאתה יכול לבטל לחלוטין את עורך הקוד בוורדפרס. אינך רוצה שהאקרים שיזכו בגישה לאזור הניהול של WordPress שלך יהיו בעלי גישה לעורך הקוד, מכיוון שהם עלולים לגרום נזק רב בעזרת מספר שורות קוד.

מה לעשות? ניתן להשבית את עורך הקוד המובנה באמצעות חינם אבטחת סוקורי חיבור. לחלופין, אתה יכול להוסיף את הקוד הבא לקוד שלך wp-config.php קובץ:

// בטל עריכת קובץ
הגדירו ('DISALLOW_FILE_EDIT', נכון);

אנחנו ממשיכים הלאה.

10. אבטח את דף הכניסה שלך

בדרך כלל, בטופס ההתחברות בוורדפרס שלך יש שני שדות; שם משתמש וסיסמא. עם התוקפים והבוטים של כוח הזרוע הופכים חכמים יותר מיום ליום, איך אתה מונע מהאקרים לקבל גישה לאזור הניהול של WordPress שלך? זה פשוט; אתה מוסיף CAPTCHA או שאלות אבטחה המקשות על מישהו להשיג גישה לא מורשית.

ואתה לא צריך לערוך קוד אליו הוסף CAPTCHA או שאלות אבטחה לדף הכניסה שלך. יש תוסף וורדפרס פופולרי המכונה שאלת אבטחת WP זה קל להגדיר ולהשתמש. אם תרצה להשתמש CAPTCHA, תוכל להשתמש כניסה פשוטה, גדר Word, או אחת מהאפשרויות הרבות האחרות הזמינות בחינם ב- WordPress.org.

במקביל, אתה יכול שנה את כתובת ה- wp-login שלך למשהו ייחודי. ככה, בוטים והאקרים יתקשו לנסות ולנחש את כתובת האתר לעמוד הכניסה שלך. כניסה ל- wp פופולרית כבר בקרב האקרים, ולכן הגיוני לחלוטין לשנות את ה- URL למשהו אחר. אתה יכול להשתמש בתוסף כגון WPS הסתר כניסה.

11. הוסף אימות

בנוסף, שקול ליישם אימות דו-פקטורי ורב-גורמים. במקרה שהאקר יקבל גישה לפרטי ההתחברות שלך, הם לא יוכלו להיכנס לאתר WordPress שלך. ישנן אפשרויות רבות, אך המאמת של גוגל היא בחירה פופולרית.

מלבד זאת, הגבל כניסות בדף הכניסה שלך. אם מבקר מנסה להתחבר באמצעות חשבון שאינו קיים או מנסה שוב להיכנס פעמים רבות, סביר להניח שהם האקר או בוט שמנסים לכבוש את דרכו פנימה. אתה יכול להשתמש בתוסף כמו הגבל ניסיונות כניסה או נעילת כניסה כדי להרחיק את האלמנטים החודרניים האלה.

12. התנתק משתמשים לא פעילים

כשיש לך אתר וורדפרס מרובה משתמשים, אינך יכול לשלוט באופן מלא באיך או היכן המשתמשים ניגשים לאתר שלך. מחבר עשוי להחליט להשתמש ב- Wi-Fi ציבורי בחינם כדי ליצור נגיעות אחרונות במאמר. מעצב אתרים עשוי לעזוב את שולחנו ולחזור מהפסקת צהריים של שעה.

בתרחישים כאלה, המשתמש שלך עשוי לחשוף את האתר שלך לסיכוני אבטחה ללא ידיעה. אדם זדוני עלול להשתלט על ההפעלה שלו, לערוך את פרטיו ופשוט לגרום להרס. אם הצד הלא מורשה יודע מה הוא עושה, הוא יכול בקלות להשתלט על חשבון המשתמש ולגרום נזק.

מה לעשות? אתה יכול להתנתק ממשתמשים פעילים לאחר תקופה שהוגדרה מראש. והחלק הכי טוב? ישנם תוספים למטרה מדויקת זו. אפשרות פופולרית אחת היא יציאה לא פעילה תוסף הכולל אפשרויות להתאמה אישית של זמן סרק לפני היציאה, הודעת קופץ מותאמת אישית או הפניה מחדש לאחר יציאה, וקצבת זמן לפי תפקיד המשתמש.

13. סרוק אחר תוכנות זדוניות ובעיות (באופן קבוע)

לעתים קרובות נשכח, סריקת אתר וורדפרס באופן קבוע יכולה לעזור לך לזהות בעיות אבטחה בשלב מוקדם. האקר צריך לפרוץ רק שנייה לאתר שלך ולעשות כל מיני דברים מגעילים. זו בדיוק הסיבה שבגללה עליכם להישאר על כל הנושאים.

תוספי אבטחה רבים של וורדפרס לסריקת זיהומים זדוניים, פגיעויות אבטחה ידועות, סקריפטים מיושנים, התקפות כוח ברוט, גיבויים שאינם קיימים וכן הלאה. התוספים שולחים לך דוחות מפורטים על בעיות ידועות, כך שתוכל לתקן אותם או לשכור איש מקצוע.

ישנם סורקי אתרים רבים, כגון בדיקת אתר סוקורי, בהן תוכלו להשתמש בכדי לבדוק את האתר שלכם כהרף עין. כל שעליך לעשות הוא להזין את כתובת האתר שלך, והכלים יבדקו את האתר שלך באופן אוטומטי. לאחר מכן, הם מציעים לך דוח על מה שאתה צריך לתקן. ברגע שיש לך את הדוח, תקן את כל פגיעויות האבטחה באופן מיידי.

14. השתמש ב- VPN

אם אתה מנהל אתר הנושא מידע רגיש שלעולם אסור להיכנס לידי האקרים, שקול להשתמש ברשת פרטית וירטואלית (VPN), על אחת כמה וכמה כשאתה משתמש בחיבור אינטרנט אלחוטי ציבורי בחינם. VPN מגן עליך מפני התקפות של איש באמצע הנפוצות ברשתות הציבוריות, כולל בבית ובעבודה.

רשת פרטית וירטואלית מבטיחה כי גם אם התוקפים יקבלו גישה למערכת וגונבים את הפרטים שלך, הם לא יכולים לעשות שום דבר עם הנתונים שהם לוקחים ממך. אם יש לך רשת אינטרנט שאתה משתף עם אנשים רבים, השתמש תמיד ב- VPN לפני שאתה ניגש לאזור הניהול של WordPress שלך.

אפשרויות אבטחה אחרות של וורדפרס

זקוקים ליותר לעשות? נשמח לשמור על אבטחת האתר שלך בכל עת, לכן להלן פריטי אבטחת בונוס להוסיף לרשימת הבדיקה שלך:

  • השבת את ביצוע קובצי PHP ב- / wp-content / wp-uploads /
  • שנה את קידומת מסד הנתונים של WordPress
  • הגנה באמצעות סיסמה על דפי הניהול והכניסה שלך בצד השרת
  • השבת אינדקס של ספריות
  • השבת את WP REST API ו- XML-RPC אם אין צורך
  • אל תערוך / שינה את ליבת וורדפרס – כתוב או השתמש בתוסף שמציע במקום זאת את הפונקציונליות שאתה צריך
  • ודא שאתר האינטרנט שלך מריץ את הגרסה האחרונה של PHP
  • השתמש בתוכנת אנטי-וירוס במחשב שלך
  • הפעל את מסוף החיפוש של Google
  • צמצם את הפגיעויות בהזרקת XSS ו- SQL (יתכן שתזדקק לאדם בעל ידע טכני יותר שיסייע בשני אלה)

באמת, מספר הצעדים שתוכלו לנקוט בכדי להגן על האתר שלכם הוא אינסופי. אבל אם אתה יכול לבדוק את 14 הפריטים שמנינו, זהו צעד ענק לאבטחת האתר שלך.


אבטחת אתר וורדפרס שלך מאתגרת אך לא בלתי אפשרית. בעזרת הכלים והמיומנויות הנכונים, אתה יכול להקשות במהירות את האבטחה שלך ב- WordPress ולהרחיק את השחקנים הרעים.

כתמצית, שמור תמיד על אתר מעודכן. נוסף על כך, אל תוריד ערכות נושא או תוספים מאתרים לא אמינים. וכדי להיות בצד הבטוח אם הדבר הגרוע ביותר יקרה, יש תמיד פיתרון גיבוי אמין במקום.

אנו מקווים שמצאת את כל הטיפים הדרושים לך כדי לאבטח את אתר WordPress שלך, ומכאן עסק מקוון. אם יש לך שאלה או זקוק לעזרה כדי להבין כיצד לאבטח את אתר WordPress שלך, אנא הודע לנו בתגובות. להישאר בטוח!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map